Cisco Blog Deutschland

Die veränderte Rolle des CISOs

3 min read



7. Blog der Serie: IT-Sicherheit neu denken

In meinen vorherigen Blogs habe ich beschrieben, warum IT-Sicherheit unternehmensweit und organisationsübergreifend neu gedacht werden sollte. Weg von einer Fokussierung auf die Einhaltung von Complianceanforderungen und obligatorischen Schutzmaßnahmen, hin zu einer Risiko-orientierten Fokussierung, bei der die IT-Sicherheit neue Digitalisierungsinitiativen ermöglicht, anstatt zu verhindern. Das dickste Brett, welches es dabei zu bohren gilt, ist die Art und Weise, wie organisationsübergreifend gedacht und zusammengearbeitet wird.

Bereits in meinem ersten Blog gehe ich dabei auf die Erfolgsformel ein, die folgendermaßen lautet:

   Management Unterstützung

+ Menschen & Kultur

+ Konzepte & Prozesse

+ Technologien

———————————-

= Risiko-orientierte Cyber Sicherheit als „Enabler“ für das Business

Eine zentrale Rolle dieser Reise und des Kulturwandels im gesamten Unternehmen fällt dabei in die Verantwortung des CISOs – die Rolle im Unternehmen wird wichtiger denn je. Ein CISO kann allerdings nur dann seiner gestiegenen Verantwortung gerecht werden, wenn er:

  • Von der Geschäftsführung befähigt wird und mit der Autonomie ausgestattet ist teamübergreifend die Veränderung zu gestalten
  • Entsprechende Führungsqualitäten und -fähigkeiten (Leadership Skills) besitzt und nicht den Anspruch hat, sich tief technisch in jedem Detail auszukennen
  • es schafft, eine Kultur zu etablieren, die eine kontinuierliche Verbesserung anstrebt im Sinne von „…geht nur wenn…“, anstatt „…geht nicht, weil ….“
  • mit dem CIO oder IT-Leiter eine vertrauensvolle Zusammenarbeit etabliert, bei der beide das gleiche Ziel verfolgen und an einem Strang ziehen
  • bei allen neuen Digitalisierungsinitiativen und Projekten von Beginn an mit eingebunden ist.

Meine tägliche Arbeit mit CISOs und CIOs zeigt mir allerdings, dass dieses Verständnis der veränderten Rolle oft noch nicht gegeben ist und es eher ein interner Kampf gegen Windmühlen ist. Um zu verstehen, warum sich die Rolle zu einem „Dirigent“ wandelt, hilft es, sich gemeinsam mit dem CISO die veränderten Themenfelder und Aufgabengebiete mal genauer anzusehen und zu hinterfragen.

  1. Kontinuierliches Risiko Assessment
    • Identifizieren wir kritische Prozesse und Assets?
    • Machen wir Cyberrisiken transparent im Sinne einer Cyber Security Anamnese und können diese anhand unseres Risiko Appetits kontinuierlich bewerten (siehe 5.Blog)?
    • Haben wir eine Risiko Betrachtung im Kontext von strategischen Digitalisierungsinitiativen etabliert?
    • Haben wir eine Supply-Chain Risikobetrachtung, um die Vertrauenswürdigkeit der eingesetzten Produkte zu verifizieren?
  2. Frameworks
    • An welchen Frameworks (z.B. NIST) möchten wir uns zukünftig orientieren?
    • Welche Frameworks und Sicherheitstandards (z.B. ISO 27001, B3S, SIG 2.0 etc) gilt es zu erfüllen?
  3. Governance
    • Sind wir in der Lage, die Sicherheitsarchitektur und entsprechenden Präventionsfähigkeiten im Kontext der Businessanforderungen kontinuierlich zu verbessern, um das Cyberrisiko zu minimieren?
      • Verbesserung der Effektivität – Tun wir die richtigen Dinge?
      • Verbesserung der Effizienz – Tun wir das, was wir machen richtig?
    • Haben wir die notwendige Transparenz gegenüber der Geschäftsführung geschaffen?
      • Aufzeigen von Cyberrisiken und Abstimmen des Risiko-Appetits
      • Aufzeigen von Verbesserungen bzgl. kontinuierlicher Bedrohungserkennung und -abwehr
      • Aufzeigen der Verbesserungen bzgl. Sensibilisierung der Mitarbeiter
  4. Threat Intelligence
    • Können wir kontinuierlich und proaktiv Bedrohungen unternehmensweit und organisationsübergreifend erkennen und abwehren?
    • Sind wir für Zero-Day Attacken gerüstet?
  5. Architecture
    • Was sind unsere Anforderungen aus den Digitalisierungsprojekten und -initiativen und wo kommen etablierte Sicherheitskonzepte und obligatorische Schutzmaßnahmen an ihre Grenzen und bieten keinen ausreichenden Schutz?
    • Wie können neue Sicherheitskonzepte und Architekturen wie Zero Trust und Secure Access Service Edge (SASE) eingeführt werden und welche Fähigkeiten gilt es zu etablieren?
    • Wie sieht ein Design der logischen und physischen Architektur aus?
  6. Security Operations
    • Nach was werde ich gemessen?
    • Was sind meine KPI (Key Performance Indicators) und KRI (Key Risk Indicators)?
      • Identifizieren wir neue Bedrohungen und Angriffe schneller? (Mean Time to Detect)
      • Wie schnell konnten wir auf eine Bedrohung oder Attacke reagieren und diese beseitigen? (Mean Time To Repair)
      • Wie steigt die Sensibilisierung der Mitarbeiter?
  7. Education
    1. Welches Wissen gilt es, in der Organisation aufzubauen z.B. was neue Sicherheitskonzepte und -architekturen (z.B. SASE, Zero Trust) oder Bedrohungserkennung und -abwehr angeht?
    2. Haben wir neue Rollen etabliert wie z.B. SOC Manager, Security Analysten und Securty Architekten, egal ob nun intern oder extern?

Damit der Wandel der Rolle des CISOs durch erste kleine Schritte realisierbar werden kann, empfiehlt es sich folgende Fragen zu beantworten:

  • Wo ist das Unternehmen gut aufgestellt und was bereitet dem CISO keine Sorgen?
  • Was hält den CISO heute davon ab und welche Probleme und Hürden stehen ihm dabei im Wege?
  • Welche Veränderungen und Mehrwerte sollten etabliert werden?

Am Ende des Tages kann der Wandel nur aus dem Unternehmen selbst kommen. Wir unterstützen Sie allerdings gerne dabei. Sprechen Sie uns dazu einfach an.

Authors

Holger Müller

Business Solutions Architect

Public Sector

Kommentar hinterlassen


3 Kommentare

  1. Schöne Fragestellungen, die den Wandel in der IT beschreiben sollten. Wichtig sind aus meiner Sicht auch zwei Dinge, um den Wandel zu vollziehen. Die Möglichkeit frei zu denken und zu handeln und sich zu lösen von Starrem und Bewehrtem und das Commitment der GF, diesen Wandel auch zu gehen. Das setzt immer auch ein Umdenken aller Beteiligten voraus. Leider sind die Ausgangssituationen in den Unternehmen sehr unterschiedlich, was letztlich den Erfolg aller mindert.
    Aber grundsätzlich finde ich diese Diskussion sehr gut und ich freue mich auf die Konzepte und Realisierungen.
    TS

  2. Ein super Beitrag der die wichtigen Herausforderungen eines CISO trifft. Obgleich ich neben den oben angesprochenen Grundsatzthemen einen Hebel ganz besonders wichtig erachte:

    Der CISO sollte in die Digitalisierung und Weiterentwicklung von Unternehmensstrategien frühzeitig eingebunden werden, um seiner Rolle zum "Enabler" gerecht zu werden.

    Ich sehe hier eine Verbindungsrolle zwischen strategischen Digitalisierer und operativem IT-Leiter. Insbesondere die Rolle des CIO in der Digitalisierung und der Schulterschluss zum CISO machen strategische und operative Geschwindigkeit aus.
    Digitalstrategie, IT-Strategie und IT-Sec-Strategie müssen ineinandergreifen oder gemeinsam als EINE Strategie entlang der Unternehmensziele gedacht und gelegt werden.

    • Danke Herr Engelking,

      Ihren Kommentar kann ich zu 100% bestätigen. Die Zusammenarbeit und das gemeinsame Verständnis was Zielsetzung angeht zwischen CISO und CIO sind die Grundlage für die Veränderung auch auf der operativen Ebene. Nur so läßt sich die Veränderung auch gestalten, damit z.B. Buzzwords wie Zero Trust und SASE auch umgesetzt und betrieben werden können – und zwar über Organisationsgrenzen hinweg.